Добрый день,
Предполжим я хочу зарегестрировать свою компанияю, как ISO/MSP в банке США, для предоставления услуг процессинга платежей по кредитным картам местным мерчантам. Банк естественно требует проведение лицензирования по PCI DSS.

Вопрос:
- Сколько это будет примерно стоить (на примере России, Европы, США), или хотя бы на примере одной из стран.
При условии, что будет процессится до 1.000.000 транзакций в год. А то страшные цифры ходят в интернете, вплоть до нескольких миллионов долларов.
- Какие способы минимизации издержек на сертификацию вы знаете ?
Для примера приведу, несколько способов выполнения раздела(как я понял) PCI DSS 6.6 (взято с американского форума)

We're using dotdefender to implement pci dss 6.6 compliance.
The costs that we check was:
Hardware solution - Imperva $45K
Software solution - dotdefender $4K
Code Security - $12K

Eventually we decided going on with dotdefender solution.

Т.е разброс цен на выполнение одних и тех действий примерно 10 раз.

Какие ещё способы минимизации издержек существуют ?
В какую сумму планировать расходы на сертификацию по PCI DSS complience ? Если мы планируем стать Service Provider Level 1 (VisaNet processors or
any service provider that stores, processes and/or transmits over 300,000 transactions per year)

Здравствуйте.

Для того чтобы ответить на Ваш вопрос (вернее тут их несколько), необходимо получить ряд уточнений касающихся инфраструктуры организации и многих других нюансов. Это может выйти за рамки данного форума. Пожалуйста позвоните к нам в офис (контакты здесь: http://www.infosec.ru/contacts/ , рекомендую попросить соединить непосредственно с директором Департамента аудита - Максимом Эммом).

Вопрос на эту же тему. Для start-up процессинга (cemea регион) кто определяет классификацию сервис провайдера - Visa, аудитор, кто то другой? Понимая, что в первый год работы процессинг вряд ли выйдет за пределы 300 тысяч транзакций, какой смысл получать "дорогую" и "долгую" сертификацию на Level 1, если можно быстро и дёшево сертифицироваться на Level 2?

Классификация уровня (Level) сервис провайдера определяется платежными системами. Информацию можно уточнить здесь: http://www.visacemea.com/ac/pdf/Account_Information_Security1.pdf и http://www.mastercard.com/us/sdp/index.html
Что касается сертификации, то тут следует понимать разницу между процессом по достижению и поддержанию соответствия PCI DSS и "получением сертификата". Независимо от способа подтверждения соответствия - SAQ или прохождение онсайт-аудита (ясно, что первый вариант для организации дешевле), уменьшать объем самих работ по выполнению требований стандарта и реализации защитных мер, не рекомендуется.

Цитата:

Классификация уровня (Level) сервис провайдера определяется платежными системами. Информацию можно уточнить здесь: http://www.visacemea.com/ac/pdf/Account_Information_Security1.pdf и http://www.mastercard.com/us/sdp/index.html Что касается сертификации, то тут следует понимать разницу между процессом по достижению и поддержанию соответствия PCI DSS и "получением сертификата". Независимо от способа подтверждения соответствия - SAQ или прохождение онсайт-аудита (ясно, что первый вариант для организации дешевле), уменьшать объем самих работ по выполнению требований стандарта и реализации защитных мер, не рекомендуется.

Задавая этот вопрос я как раз таки руководствовался указанными Вами документами. Замечание по части "получить сертификат" и "соответствовать сертификации" считаю резонным. К процессу сертификации мы подходим прежде всего с точки зрения построения безопасного процеcсинга. Но если технические требования мы выполним достаточно легко и быстро, то создание необходимой документации (политика ИБ и стандарты управления) займут длительное время. Отсюда и растут планы по "быстрому", но качественному соответствию на Level 2, с последующей сертификацией на Level 1.
Возвращаясь к заданному вопросу, читая полученный ответ, и ещё раз рассматривая указанные Вами документы, я не вижу препятствий для start-up компании настаивать именно на Level 2 сертификации. Правильно я понимаю?

Да, в той части, что способ подтверждения вы согласовываете с МПС, а не с аудитором. И, конечно, если транзакций мало, то вы пока можете подтверждать соответствие, как для Level 2. Главное чтобы было понимание, что объем выполнения требований стандарта не зависит от уровня. Кстати, ваш эквайер также может предъявить к вам свои требования (пройти аудит, например).
Что касается того, что выполнить технические требования проще, чем их задокументировать, здесь не соглашусь, но наверное это вне темы рассматриваемого вопроса. :)

Цитата:

Да, в той части, что способ подтверждения вы согласовываете с МПС, а не с аудитором. И, конечно, если транзакций мало, то вы пока можете подтверждать соответствие, как для Level 2. Главное чтобы было понимание, что объем выполнения требований стандарта не зависит от уровня. Кстати, ваш эквайер также может предъявить к вам свои требования (пройти аудит, например). Что касается того, что выполнить технические требования проще, чем их задокументировать, здесь не соглашусь, но наверное это вне темы рассматриваемого вопроса. :)

Спасибо за ответ!
Техническая часть для нас проще, это дело нам знакомо. А вот с политикой ИБ и стандартами - никто не сталкивался, поэтому и сложности. :)

Пожалуйста!

Нужна будет помощь, обращайтесь, будем рады помочь. :)

Спасибо!